Recht: Verantwortung von Programmierer bei Fremdscripten

[tribun]

Hi an alle,

ich erwarte keine Rechtsberatung von euch, aber mir stellt sich z. Zt. folgende Frage:

Gesetzt den Fall, ich nehme ein unter der GPL stehendes Script und baue dies für einen Kunden ein.
Nun ist das Script jedoch eventuell unsicher und erlaubt es einem User, fremde Benutzerdaten auszulesen.

Welche Folgen könnten mich treffen, wenn einer der betroffenen Kunden mit rechtlichen Schritten droht und gar einen Screenshot als Beweis vorlegen kann?
Inwieweit kann ich als "Einbauer" des Fremmdscripts zur Verantwortung gezogen werden?
Was kann im schlimmsten Fall passieren, wenn der Datenschutz durch ein fehlerhaftes Script nicht eingehalten wird?
Sollte ich mir einen Anwalt zulegen, oder besser der Website-Betreiber, in dessen Auftrag das Script eingebaut wurde und der ja auch vom betroffenen Kunden beschuldigt wird?

Und was, wenn das Einsehen der Fremddaten nur möglich ist, weil der Provider seinen Server unsicher konfiguriert hat?

Fragen über Fragen und ich bin gespannt auf die Antworten, Tips und Links.

[edit]
Das Szenario ist frei erfunden. Ähnlichkeiten mit toten oder lebenden Szenarien sind nicht beabsichtigt und reiner Zufall.

[paul123]

Also ich denke, wenn ich meinen gesunden menschenverstand einsetze, dann ist der Programmierer/Webfirma zur Verantwortung (je nachdem) für mich als Kunde, wenn ichs wäre, verantwortlich! Einfach aus folgendem mir logischen Grunde: Wenn ich einen Elektriker hole dann aus dem Grunde: er ist Fachmann für das was er tut und kriegt kohle für. Und das ich als "unwissender" nicht das fachwissen habe sollte klar sein. Er muß mich dann aber vielleicht darauf hinweisen, wenn ich etwas haben möchte, was Probleme aufweisen kann... Sprich: ich als Kunde erwarte (!) das mir die beauftragte Firma fachlich richtig etwas anbietet - wofür sie bezahlt wird. Wenn die Firma aus Unwissenheit etwas falsch macht ist das keine Kundenaufgabe das zu wissen, aber dann eine (vielleicht) Haftpflichtsache der Firma...

Wie gestagt, meine "Bauchempfindung" ... ich vergleich das mit dem Elektriker und dem Kunden, der Brotscheibenfachverkäufer mit Diplom ist - wo also der eine vom anderen Fach eigentlich nichts verstehen kann... Das würde ich jetzt aber auch auf kleine/normale Kunden umsetzten. In große Firmen läuft das sicher anders...

[tribun]

Und wenn der Elektriker - sagen wir - eine Unterverteilung einbaut, der dann aufgrund eines Produktionsfehlers einen Hausbrannt verursacht? Dann wäre doch nicht der Elektriker, sondern der Hersteller der "Schuldige".

Problem ist ja in meinem Szenario, dass ein Fremdscript verbaut wurde. Sieht's dann nicht etwas anders aus?

Gruß
Tribun

[mahjongg]

Ich denke, dass Du erstmal Probleme bekommst, wenn es zu solchen Sicherheitsmängeln kommt. Inwieweit Du dann Deinen Schaden (den Du z.B. durch Schadensersatzzahlungen erlitten hast) dann von anderen wiederholen kannst, muss dann im Einzelfall geklärt werden.

Wenn es eine Fehlkonfiguration des Servers duch einen Fremdanbieter passiert, wirst Du sicherlich etwas Geld von dem holen können.
Wenn Du das Skript von einer Firma gekauft hast (und es für diesen Zweck geschrieben wurde), dann wirst Du sicherlich Geld von der Firma bekommen.
Aber wenn das Skript frei war und vielleicht sogar bekannt ist, dass es das eine oder andere Problem geben könnte, dann ist das grob fahrlässig bis vorsätzlich von Dir...

Das ist meine Meinung - und ich bin kein Anwalt ;-)

[paul123]

Und wenn der Elektriker - sagen wir - eine Unterverteilung einbaut, der dann aufgrund eines Produktionsfehlers einen Hausbrannt verursacht? Dann wäre doch nicht der Elektriker, sondern der Hersteller der "Schuldige".

hm... wie gesagt, ist mein eigenes Rechtsempfinden (was aber eigentlich auch logisch ist) Ich würde in dem Elektrikerfall sagen, wenn nicht klappt : Kunde beschwert sich beim Elektriker und da der was fehlerhaftes eingebaut hat, was er wiederum nicht verantworten kann gibt der das dem Lieferanten weiter. Denn: Wenn ich als Kunde der ja Null Plan von sowas hat, das nicht verantworten muß, das der Elektriker was falsches einbaut. Er kann das Teil auch austauschen (Gewährleistung) - aber der Kunde letztendlich hat ja z.B. einen funktionieren Schalter bestellt. Und wie das tech. abläuft muß er ja nicht wissen - er hat bestellt und es muß - im Rahen der gesetzlichen Vorgaben funktionieren (also der Elektroker kann als Fachmann mit Fachwissen nicht einfach Kabel z.B. zusammendrehen, der muß das löten oder per Steckverbindung machen oder was weis ich was da fachlich erforderlich ist.

Das ist meine Meinung mal aus Kundensicht, wie ich das verstehen würde. Und ei einem Script denke ich, muß der programmierer das eben checken, obs funktioniert.

Mit Sicherheit gibt es tausende Klauseln (sonst wären wir nicht in D ) die das vielleicht wiederlegen (Dummheit schützt vor Strafe nicht...)...

Wie gesagt - mein Empfinden, das ich auch so weiterreiche. Wobei ich etwas "im Rahmen bleiben möchte" - es kommt auf die Sache an. Ich streite nicht mit einem Elektriker der für 3 äppel fufzig was macht und den ich seit 10 jahren kenne. Ich mag keine Leute, die wegen jedem Scheiß nach ihrem Anwalt rufen. Ja mein Gott, wir sind alles Menschen. Aber! - es kommt eben auf das einzelne an: wenn ein shop "unsicher" ist dann ist das ein ganz anderes Problem...

[Tetsuo]

Es gibt da eine gute Möglichkeit Probleme zu vermeiden.

Wenn man plant ein solches Script einzusetzen, dann sollte man dass mit dem Kunden besprechen, Ihn über die Risiken aufklären. Es kommt immer wieden vor das das Scripte Sicherheitsmängel aufweisen, Shoutboxen mit gefährlichen Includes usw. Dann kann der Kunde selbst entscheiden ob er das Risiko eingehen möchte.
Wenn er sich dann dafür entscheidet, dann schreib einen Haftungsausschluß in den Auftrag.
Wenn du dann nicht grob fahrlässig handelst und dich an die Bedingungen deines Haftungsausschlusses hälst, dann kann dir eigendlich nichts passieren.


PS. Hier mein Haftungsausschluß: Auch ich bin kein Anwalt und übernehme für die oben gemachten Angaben keine Haftung .

[tribun]

Dann kann der Kunde selbst entscheiden ob er das Risiko eingehen möchte.
Wenn er sich dann dafür entscheidet, dann schreib einen Haftungsausschluß in den Auftrag.

Das ist eine sehr gute Anregung!

[Tömsken]

> schreib einen Haftungsausschluß in den Auftrag.

Hm... ob das wohl vor Gericht Bestand hätte? Dürfte voraussetzen, dass der Kunde die Problematik verstanden hat und überblicken kann. Das könnte schwierig werden.

Außerdem schürst Du damit Panik beim Kunden. Nix gut.
Vielleicht regt er dann auch an, dass du das Modul doch auch noch selber schreiben solltest.

Apropos GPL: Wenn ich mich recht entsinne, müssen alle Programme, die GPL-Code enthalten, unentgeldlich und im Quellcode zur Verfügung gestellt werden. Wäre dies vielleicht ein weiteres Problem?

[Tetsuo]

der Kunde die Problematik verstanden hat und überblicken kann

Der Kunde hat doch die Problematik verstanden wenn:
Er verstanden hat dass es tatsächlich passieren kann, dass er angegriffen wird. Und es sollte ihm aufgezeigt werden was denn schlimmstenfalls passieren kann.
Unabhängig von fremdem Code oder eigenem Code, die gefahr besteht einfach und es ist nur fair darauf hinzuweisen.
Außerdem schürt man damit weniger Panik als man vielleicht denkt. Die Kunden sind sich häufig einer Gefahr bewußt, man hört ja genug in den Medien. Im Gegenteil, sie fühlen sich teilweise auch gut beraten, wenn man sie über alle Seiten des Internets berät und nicht alles schön redet.

Und wenn ich dann das Modul selbst schreiben soll, ist mir das auch recht, damit verdiene ich ja mein Geld .

[tribun]

Apropos GPL: Wenn ich mich recht entsinne, müssen alle Programme, die GPL-Code enthalten, unentgeldlich und im Quellcode zur Verfügung gestellt werden. Wäre dies vielleicht ein weiteres Problem?

Wenn ich vorhandene GPL-Scripte einsetze, dann ist der Quellcode ja eh im Netz verfügbar. Das ist ein großer Vorteil an GPL: Gefällt dem Kunden dein Support nicht mehr, dann kann er mit der Software zu nem anderen, der besseren Support bietet.

Die GPL verlangt nicht die unentgeldliche Verbreitung. Wenn man will, kann man für seine eigene GPL-SW Geld verlangen. Aufgrund der Lizenz kann man den Käufer aber nicht daran hindern, den Quellcode dann kostenlos zu verteilen.
Deshalb ist es recht sinnlos die SW an sich zu vertreiben. Geld verdient man besser am Einbau der Scripte, der individuellen Anpassung, der Pflege und dem Support.

Wenn man seine SW unter die GPL stellt, dann tut man das bewusst und kennt die Bedingungen.

Baut man fremde GPL'te Scripte ein, dann darf man sich die Anpassung und den Support den man gibt ruhig bezahlen lassen.

Gruß
Tribun